Beheer

Privacy
Wachtwoorden

Bedenker w@chtw00rd-adviezen heeft spijt

Richtlijnen werkten vooral in het voordeel van hackers

© CC0,  geralt
8 augustus 2017

Richtlijnen werkten vooral in het voordeel van hackers

Wie een goeie truc kent, kan 'm maar beter geheim houden. Dat was wat Bill Burr even over het hoofd lijkt te hebben gezien toen hij in 2003 namens het Amerikaans National Institute of Standards and Technology vuistregels publiceerde voor het kiezen van sterke wachtwoorden.

De opsteller van de 8 pagina's tellende richtlijn NIST Special Publication 800-63. Appendix A, heeft inmiddels spijt van zijn adviezen. Ze zijn door veel Amerikaanse overheidsdienst en onafhankelijke sites breed omarmd, maar hebben achteraf bezien de hackers waarschijnlijk meer geholpen dan in de weg gezeten. Dat concludeert de de inmiddels 72-jarige Burr nu zelf in een interview in de Wallstreet Journal.

De door Burr aanbevolen trucs – zoals het vervangen van letters door er op gelijkende cijfers of bijzondere tekens – werden voor hackers opgepikt als de eerste 'dingetjes' om uit te proberen in hun brute force aanvallen, die daarmee meteen al iets minder bruut lijken te worden. 

Maar de adviezen pakten ook op andere manieren verkeerd uit. Zo resulteert het gedwongen gebruik van speciale tekens, cijfers en of hoofdletters in feite in een vermindering van het aantal mogelijkheden wat de brute force hacker te doorlopen heeft. 

Ook het advies om wachtwoorden regelmatig te veranderen, pakt in de praktijk verkeerd uit als beheerders gebruikers er toe gaan dwingen. Het moeten veranderen komt immers altijd ongelegen, waardoor de gebruiker geneigd zal zijn om voor een minimale verandering te kiezen. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
5
Reacties
Anoniem 14 augustus 2017 08:54

@Hans Bertram, het is zeker toevallig dat u eigenaar & CEO of Power Finance Holding b.v. bent?

Anoniem 08 augustus 2017 12:47

Inderdaad, zinnen, ofwel passphrases gebruiken. "IkBenEenManEnHouVanVoetbal1988" om dat te bruteforcen zijn ze wel even bezig....

Anoniem 08 augustus 2017 12:36

Google even "XKCD Horse battery staple", die kerel heeft het al eens leuk uitgelegd.

Anoniem 08 augustus 2017 12:32

Belangrijkste regel bij het kiezen van een wachtwoord: voldoende lengte, dus minstens 20 characters.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.